KR101360591B1 - Apparatus and method for monitoring network using whitelist - Google Patents
Apparatus and method for monitoring network using whitelist Download PDFInfo
- Publication number
- KR101360591B1 KR101360591B1 KR1020110098829A KR20110098829A KR101360591B1 KR 101360591 B1 KR101360591 B1 KR 101360591B1 KR 1020110098829 A KR1020110098829 A KR 1020110098829A KR 20110098829 A KR20110098829 A KR 20110098829A KR 101360591 B1 KR101360591 B1 KR 101360591B1
- Authority
- KR
- South Korea
- Prior art keywords
- message
- white list
- information
- layer
- target
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보를 확인할 수 있는 화이트리스트를 이용한 네트워크 감시 기술이 개시된다. 이를 위해, 본 발명에 따른 네트워크 감시 장치는 복수개의 통신노드들의 정상 동작 시에, 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하고, 패킷들을 분석하여 화이트리스트를 생성하는 화이트리스트 생성부; 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 대상 패킷에 대한 정보를 화이트리스트와 비교 분석하며, 대상 패킷에 대한 정보에 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 대상 패킷을 이상징후로 판단하는 감시부; 및 감시부에서 판단된 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함한다.Disclosed is a network monitoring technology using a white list that can identify abnormal information of a network without information of an attack signature on the network. To this end, the network monitoring apparatus according to the present invention, in the normal operation of the plurality of communication nodes, a white list generating unit for collecting packets transmitted and received between the plurality of communication nodes, and analyzing the packets to generate a white list; Receive a target packet transmitted and received between a plurality of communication nodes, compare and analyze the information on the target packet with the white list, and if the information on the target packet includes information that is not defined in the white list, the target packet is abnormal. A monitoring unit judging as a symptom; And alarm generation unit for notifying the user of the information of the abnormal symptoms determined by the monitoring unit.
Description
본 발명은 화이트리스트를 이용한 네트워크 감시 장치 및 방법에 관한 것이다. 보다 상세하게는, 본 발명은 네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보를 확인할 수 있는 화이트리스트를 이용한 네트워크 감시 장치 및 방법에 관한 것이다.The present invention relates to a network monitoring apparatus and method using a white list. More specifically, the present invention relates to a network monitoring apparatus and method using a white list that can confirm the abnormal information of the network without the information of the attack signature (signature) to the network.
최근 네트워크 사용자가 급증하면서 네트워크 기반 시스템에 대한 공격이 증가하고 있다. 구체적으로, 호스트(host)에 악의적인 패킷(packet)을 보내어 호스트가 원하지 않는 동작을 수행하게 하는 것을 목적으로 한 공격이 증가하고 있다. 이에 따라, 이러한 네트워크에 대한 공격 및 네트워크 자체의 오류를 감시하기 위한 네트워크 감시 기술에 대한 연구가 계속되고 있다.With the recent surge in network users, attacks on network-based systems have increased. In particular, attacks have been increasing for the purpose of sending malicious packets to a host to cause the host to perform undesired operations. Accordingly, research on network monitoring technology for monitoring an attack on such a network and an error of the network itself continues.
특히, 복잡화된 네트워크 시스템 즉, 하나의 네트워크 내의 복수개의 통신노드들이 2 개 이상의 프로토콜을 사용하고, 2 개 이상의 서비스를 제공하며, 다양한 사용자 권한에 대한 기관의 보안정책을 갖는 시스템을 감시하기 위하여는, 복잡화된 네트워크 시스템에도 유연하게 적용될 수 있는 네트워크 감시 기술이 필요하다. 또한, 네트워크 시스템의 이상징후의 근본적인 분석을 위하여, 이상징후 감지 이후 해당 이상징후의 원인을 정확하게 분석할 수 있는 네트워크 감시 기술이 요구되는 실정이다.In particular, in order to monitor a complex network system, that is, a plurality of communication nodes in one network using two or more protocols, providing two or more services, and having a system security policy for various user rights. There is a need for network monitoring technology that can be flexibly applied to complex network systems. In addition, in order to fundamentally analyze an abnormal symptom of a network system, a network monitoring technology capable of accurately analyzing the cause of the abnormal symptom after detecting the abnormal symptom is required.
본 발명의 목적은 통신노드 간의 정상 통신패턴을 정의하고 이를 감시하여, 네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보(보안 위협, 시스템 오류, 사용자 실수 등)를 확인하는 것이다.It is an object of the present invention to define and monitor normal communication patterns between communication nodes to identify abnormal information (security threats, system errors, user errors, etc.) of the network without the information of attack signatures on the network.
그리고, 본 발명은 네트워크에 이상징후가 발생한 경우, 해당 이상징후에 대한 데이터를 화이트리스트(Whitelist)와 비교하여, 해당 이상징후의 발생 원인에 대한 정보를 도출하는 것을 목적으로 한다.In addition, when an abnormal symptom occurs in a network, an object of the present invention is to derive information on a cause of an abnormal symptom by comparing the data on the abnormal symptom with a whitelist.
또한, 본 발명은 네트워크상의 통신노드들이 다양한 프로토콜, 다양한 서비스를 제공할 때에도 통신노드들의 특성, 통신노드 간의 상호 상관관계 특성, 기관의 보안 정책 등을 반영한 화이트리스트 기반으로 이상징후를 정확하게 감지하는 것을 목적으로 한다.In addition, the present invention accurately detects abnormal symptoms based on the white list reflecting the characteristics of the communication nodes, cross-correlation characteristics between the communication nodes, the organization's security policy, even when the communication nodes on the network provide a variety of protocols, services The purpose.
또한, 본 발명은 화이트리스트를 네트워크 계층, 컨트롤 계층 및 상관관계 계층으로 나누어 이상징후를 순차적으로 판단하여, 이상징후를 보다 정밀하게 판단하는 것을 목적으로 한다. 더불어, 본 발명은 화이트리스트의 특정 계층에서 이상징후가 감지되면 다른 계층에서의 판단 동작을 진행하지 않음으로써, 불필요한 감시 동작을 줄이는 것을 목적으로 한다.In addition, an object of the present invention is to divide the white list into a network layer, a control layer, and a correlation layer to determine abnormal symptoms sequentially, thereby determining the abnormal symptoms more precisely. In addition, an object of the present invention is to reduce unnecessary monitoring by not performing a determination operation on another layer when an abnormal symptom is detected in a specific layer of a white list.
또한, 본 발명은 관리자가 화이트리스트를 직접 수정할 수 있어, 학습이나 통계만을 이용해 화이트리스트를 생성할 때보다 보안 정책들을 화이트리스트에 명확하게 반영하는 것을 목적으로 한다.In addition, an object of the present invention is to allow the administrator to directly modify the whitelist, so that the security policies are clearly reflected in the whitelist, rather than when creating a whitelist using only learning or statistics.
상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 감시 장치는 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하고, 상기 패킷들을 분석하여 화이트리스트를 생성하는 화이트리스트 생성부; 상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하며, 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 감시부; 및 상기 감시부에서 판단된 상기 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함한다.Network monitoring apparatus according to the present invention for achieving the above object, in the normal operation of a plurality of communication nodes, the packet to be transmitted and received between the plurality of communication nodes, white to analyze the packets to generate a white list A list generator; Receiving a target packet transmitted and received between the plurality of communication nodes, comparing and analyzing the information on the target packet with the whitelist, and the information on the target packet includes information not defined in the whitelist A monitoring unit determining the target packet as an abnormal symptom; And alarm generation unit for notifying the user of the information of the abnormal symptoms determined by the monitoring unit.
이 때, 상기 화이트리스트 생성부는 수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립하는 패킷 수집부를 더 포함하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성할 수 있다.In this case, the whitelist generator may further include a packet collector configured to reassemble a message transmitted at an application level by using the collected packets, and may analyze the message to generate the whitelist.
이 때, 상기 화이트리스트 생성부는, 상기 메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 네트워크 계층 분석부; 상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 컨트롤 계층 분석부; 상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 상관관계 계층 분석부; 및 상기 네트워크 계층 분석부, 상기 컨트롤 계층 분석부 및 상기 상관관계 계층 분석부에서 분석된 상기 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성하는 화이트리스트 정의부를 포함할 수 있다.In this case, the whitelist generation unit analyzes at least one of a transmission IP of the communication node which has transmitted the message, a reception IP of the communication node which has received the message, and a service used to transmit the message, and thus the whitelist. A network layer analyzer configured to generate a network layer of the network; A control layer analyzer configured to generate at least one control layer of the white list by analyzing at least one of a command used in the message, characteristics of data objects transmitted by the message, and a transmission time required for transmitting the message; A correlation layer analyzer configured to analyze correlation information of the message and generate a correlation layer of the white list; And a white list definition unit configured to generate the white list based on information about the message analyzed by the network layer analyzer, the control layer analyzer, and the correlation layer analyzer.
이 때, 상기 메시지의 상기 상관관계 정보는, 상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.In this case, the correlation information of the message may include at least one of order information of the message, time interval information between the messages, and state change information of a communication node receiving the transmission of the message.
이 때, 상기 감시부는 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하는 대상 패킷 수신부를 더 포함하고, 상기 대상 메시지를 상기 화이트리스트와 비교 분석하여, 상기 대상 패킷의 상기 이상징후를 판단할 수 있다.The monitoring unit may further include a target packet receiver configured to receive the target packet transmitted and received between the plurality of communication nodes, and reassemble the target packet into a target message transmitted at the application level. The abnormal symptoms of the target packet may be determined by comparing with the white list.
이 때, 상기 감시부는, 상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 네트워크 계층 감시부; 상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 컨트롤 계층 감시부; 및 상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교하여, 상기 이상징후를 판단하는 상관관계 계층 감시부를 포함할 수 있다.At this time, the monitoring unit, the network layer of the white list, the transmission IP of the communication node that has transmitted the target message, the reception IP of the communication node that has received the target message, and the service used to transmit the target message. A network layer monitoring unit comparing the at least one of the two and determining the abnormal symptoms; The abnormal symptom is determined by comparing the control layer of the white list with at least one of a command used in the target message, characteristics of data objects transmitted by the target message, and a transmission time required for transmission of the target message. A control layer monitor; And a correlation layer monitor configured to determine the abnormal symptom by comparing the correlation layer of the white list with correlation information of the target message.
이 때, 상기 감시부에서, 상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 순차적으로 동작할 수 있다.In this case, in the monitoring unit, the network layer monitoring unit, the control layer monitoring unit and the correlation layer monitoring unit may operate sequentially.
이 때, 상기 감시부는, 상기 네트워크 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 동작하지 않게 형성되며, 상기 컨트롤 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 감시부는 동작하지 않도록 형성될 수 있다.In this case, when the abnormality is determined by the network layer monitoring unit, the control layer monitoring unit and the correlation layer monitoring unit are configured to be inoperative, and the abnormality determination is determined by the control layer monitoring unit. In this case, the correlation layer monitor may be configured not to operate.
이 때, 상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 정상 판단부를 더 포함할 수 있다.In this case, when the abnormality is not determined by the network layer monitoring unit, the control layer monitoring unit and the correlation layer monitoring unit, a normal determination unit may further include determining the target packet as a normal packet.
이 때, 상기 화이트 리스트 생성부는, 상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백부를 더 포함할 수 있다.In this case, the white list generation unit may further include a white list feedback unit configured to visualize the white list to the user and allow the user to modify the white list.
이 때, 상기 화이트리스트는 생성부는, 상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성할 수 있다.
In this case, the white list generation unit may generate the white list so that the security list of each of the plurality of communication nodes is reflected in the white list.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 감시 방법은 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하는 단계; 상기 패킷들을 분석하여 상기 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성하는 단계; 상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하는 단계; 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하는 단계; 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 단계; 및 상기 이상징후를 사용자에게 통보하는 단계를 포함한다.In addition, the network monitoring method according to the present invention for achieving the above object, in the normal operation of a plurality of communication nodes, collecting the packets transmitted and received between the plurality of communication nodes; Analyzing the packets to generate a white list when the plurality of communication nodes operate normally; Receiving a target packet transmitted and received between the plurality of communication nodes; Comparing and analyzing the information on the target packet with the white list; If the information on the target packet includes information not defined in the whitelist, determining the target packet as an abnormal symptom; And notifying the user of the abnormal symptom.
이 때, 상기 화이트리스트를 생성하는 단계는, 수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법.The generating of the whitelist may include reassembling a message transmitted at an application level by using the collected packets, and analyzing the message to generate the whitelist.
이 때, 상기 화이트리스트를 생성하는 단계는, 상기 메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 단계; 상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 단계; 및 상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 단계를 포함할 수 있다.In this case, the generating of the whitelist may include analyzing at least one of a transmission IP of a communication node that has transmitted the message, a reception IP of a communication node which has received the message, and a service used to transmit the message. Creating a network layer of the whitelist; Generating a control layer of the whitelist by analyzing at least one of a command used in the message, characteristics of data objects transmitted by the message, and a transmission time required for transmitting the message; And generating correlation layers of the white list by analyzing correlation information of the message.
이 때, 상기 상관관계 정보는, 상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.In this case, the correlation information may include at least one of order information of the message, time interval information between the messages, and state change information of a communication node receiving the transmission of the message.
이 때, 상기 대상 패킷을 수신하는 단계는, 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하며, 상기 비교 분석하는 단계는, 상기 대상 메시지를 상기 화이트리스트와 비교 분석할 수 있다.In this case, the receiving of the target packet may include receiving the target packet transmitted and received between the plurality of communication nodes, reassembling the target packet into a target message transmitted at the application level, and comparing and analyzing the target packet. May compare and analyze the target message with the whitelist.
이 때, 상기 비교 분석하는 단계는, 상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교 분석하는, 네트워크 계층 비교 분석 단계; 상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교 분석하는, 컨트롤 계층 비교 분석 단계; 및 상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교 분석하는, 상관관계 계층 비교 분석 단계를 포함할 수 있다.In this case, the comparing and analyzing may include: transmitting the network layer of the white list, a transmission IP of a communication node that has transmitted the target message, a reception IP of a communication node which has received the target message, and the target message. A network layer comparison analysis step of comparing and analyzing at least one of the used services; A control layer comparison analysis for comparing and analyzing at least one of the control layer of the whitelist, a command used in the target message, characteristics of data objects transmitted by the target message, and a transmission time required for transmission of the target message; step; And comparing and analyzing the correlation layer of the white list and correlation information of the target message.
이 때, 상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 순차적으로 진행될 수 있다.At this time, the network layer comparison analysis step, the control layer comparison analysis step and the correlation layer comparison analysis step may proceed sequentially.
이 때, 상기 네트워크 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 진행되지 않게 형성되며, 상기 컨트롤 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성될 수 있다.At this time, when the abnormal symptoms are determined in the network layer comparison analysis step, the control layer comparison analysis step and the correlation layer comparison analysis step are not performed, and the abnormal symptoms are determined in the control layer comparison analysis step. If it is determined, the correlation layer comparison analysis step may be formed so as not to proceed.
이 때, 상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 감시 방법.The method may further include determining the target packet as a normal packet when the abnormal symptom is not determined in the network layer comparison analysis step, the control layer comparison analysis step, and the correlation layer comparison analysis step. Network monitoring method.
이 때, 상기 화이트리스트를 생성하는 단계는, 상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함할 수 있다.In this case, the generating of the white list may include a white list feedback step configured to visualize the white list to the user and allow the user to modify the white list.
이 때, 상기 화이트리스트를 생성하는 단계는, 상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성할 수 있다.At this time, the step of generating the white list, the white list may be generated to reflect the security policy of each of the plurality of communication nodes in the white list.
본 발명의 실시예에 따르면, 복수개의 통신노드 간의 정상 통신패턴을 정의하고 이를 감시하여, 네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보(보안 위협, 시스템 오류, 사용자 실수 등)를 확인할 수 있다.According to an embodiment of the present invention, a normal communication pattern between a plurality of communication nodes is defined and monitored so that abnormal information (security threats, system errors, user mistakes, etc.) of the network can be detected without information of an attack signature on the network. You can check it.
그리고, 본 발명의 실시예는 네트워크에 이상징후가 발생한 경우, 해당 이상징후에 대한 데이터를 화이트리스트와 비교하여, 해당 이상징후의 발생 원인에 대한 정보를 도출할 수 있다.When an abnormal symptom occurs in a network, the embodiment of the present invention may derive information on the cause of the abnormal symptom by comparing the data on the abnormal symptom with a white list.
또한, 본 발명의 실시예는 네트워크상의 통신노드들이 다양한 프로토콜, 다양한 서비스를 제공할 때에도 통신노드들의 특성, 통신노드 간의 상호 상관관계 특성, 기관의 보안 정책 등을 반영한 화이트리스트 기반으로 이상징후를 정확하게 감지할 수 있다.In addition, an embodiment of the present invention accurately corrects an abnormal symptom based on a white list reflecting characteristics of communication nodes, cross-correlation between communication nodes, and security policies of institutions even when communication nodes on a network provide various protocols and various services. It can be detected.
또한, 본 발명의 실시예는 화이트리스트를 네트워크 계층, 컨트롤 계층 및 상관관계 계층으로 나누어 이상징후를 순차적으로 판단하여, 이상징후를 보다 정밀하게 판단할 수 있다. 더불어, 본 발명의 실시예는 화이트리스트의 특정 계층에서 이상징후가 감지되면 다른 계층에서의 판단 동작을 진행하지 않음으로써, 불필요한 감시 동작을 줄일 수 있는 효과를 갖을 수 있다.In addition, the embodiment of the present invention can determine the abnormal symptoms more precisely by dividing the white list into a network layer, a control layer and a correlation layer sequentially. In addition, the embodiment of the present invention may have an effect of reducing unnecessary monitoring operations by not performing a determination operation in another layer when an abnormal symptom is detected in a specific layer of the white list.
또한, 본 발명의 실시예는 관리자가 화이트리스트를 직접 수정할 수 있어, 학습이나 통계만을 이용해 화이트리스트를 생성할 때보다 보안 정책들을 화이트리스트에 명확하게 반영할 수 있다.In addition, according to an embodiment of the present invention, the administrator can directly modify the whitelist, so that the security policies can be clearly reflected in the whitelist than when the whitelist is generated using only learning or statistics.
도 1은 본 발명에 따른 네트워크 감시 장치가 적용된 네트워크의 구성을 도시한 개념도이다.
도 2는 본 발명에 따른 네트워크 감시 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명에 따른 네트워크 감시 장치에 있어서, 화이트리스트의 내용을 설명하기 위한 도면이다.
도 4는 본 발명에 따른 네트워크 감시 방법을 설명하기 위한 플로우챠트이다.
도 5는 본 발명에 따른 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계를 설명하기 위한 플로우챠트이다.
도 6은 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
도 7은 본 발명에 따른 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
도 8은 본 발명에 따른 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
도 9는 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름을 설명하기 위한 플로우챠트이다.1 is a conceptual diagram illustrating a configuration of a network to which a network monitoring apparatus according to the present invention is applied.
2 is a block diagram showing the configuration of a network monitoring apparatus according to the present invention.
3 is a view for explaining the contents of a white list in the network monitoring apparatus according to the present invention.
4 is a flowchart for explaining a network monitoring method according to the present invention.
5 is a flowchart for explaining a step of generating a white list in the network monitoring method according to the present invention.
6 is a flowchart for explaining a step of comparing and analyzing network layers in the network monitoring method according to the present invention.
7 is a flowchart illustrating a step of comparing and analyzing a control layer in the network monitoring method according to the present invention.
8 is a flowchart illustrating a step of comparing and analyzing correlation layers in the network monitoring method according to the present invention.
9 is a flowchart for explaining the overall flow of monitoring for abnormal symptoms on the network in the network monitoring method according to the present invention.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.
이하에서는 본 발명의 실시예에 따른 화이트리스트를 이용한 네트워크 감시 장치의 구성 및 동작에 대하여 설명하도록 한다.
Hereinafter, the configuration and operation of a network monitoring apparatus using a white list according to an embodiment of the present invention will be described.
도 1은 본 발명에 따른 네트워크 감시 장치가 적용된 네트워크의 구성을 도시한 개념도이다. 1 is a conceptual diagram illustrating a configuration of a network to which a network monitoring apparatus according to the present invention is applied.
도 1을 참조하면, 본 발명에 따른 네트워크 감시 장치(100)는 복수개의 통신노드들(300a, 300b, 300c, 300d, 300e)이 상호 연결된 네트워크(200)에 연결된다.
Referring to FIG. 1, the
도 2는 본 발명에 따른 네트워크 감시 장치의 구성을 나타낸 블록도이다. 2 is a block diagram showing the configuration of a network monitoring apparatus according to the present invention.
도 2를 참조하면, 이러한 본 발명에 따른 네트워크 감시 장치(100)는 화이트리스트 생성부(110), 감시부(120) 및 알람 생성부(130)를 포함하여 구성된다. Referring to FIG. 2, the
화이트리스트 생성부(110)는 복수개의 통신노드들의 정상 동작 시에, 복수개의 통신노드들 간에 송수신되는 패킷들을 수집한다. 그리고, 화이트리스트 생성부(110)는 상기 패킷들을 분석하여 화이트리스트를 생성한다. 이 때의 화이트리스트는 복수개의 통신노드들이 외부의 공격이나 자체 오류 등의 이상징후가 없는 정상 동작 시의 송수신되는 패킷들에 관련한 정보를 기록하여 형성된다. 화이트리스트에 대한 구체적인 설명은 도 3에 대한 설명과 함께 후술한다.The
보다 구체적으로, 화이트리스트 생성부(110)는 패킷 수집부(111), 네트워크 계층 분석부(112), 컨트롤 계층 분석부(113), 상관관계 계층 분석부(114) 및 화이트리스트 정의부(115)를 포함하여 구성된다. 또한, 화이트리스트 생성부(110)는 화이트리스트 피드백부(116)를 더 포함하여 구성될 수 있다.More specifically, the
패킷 수집부(111)는 수집된 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립한다. The
네트워크 계층 분석부(112)는 메시지를 전송한 통신노드의 전송 IP, 메시지를 수신한 통신노드의 수신 IP 및 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 화이트리스트의 네트워크 계층을 생성한다.The
컨트롤 계층 분석부(113)는 메시지에서 사용된 명령어, 메시지가 전송하는 데이터 객체들의 특성 및 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 화이트리스트의 컨트롤 계층을 분석한다.The
상관관계 계층 분석부(114)는 메시지의 상관관계 정보를 분석하여, 화이트리스트의 상관관계 계층을 생성한다. 이 때, 메시지의 상관관계 정보는 순서 정보, 메시지 간의 시간간격 정보 및 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.The
화이트리스트 정의부(115)는 네트워크 계층 분석부(112), 컨트롤 계층 분석부(113) 및 상관관계 계층 분석부(114)에서 분석된 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성한다. 즉, 화이트리스트 정의부(115)는 네트워크 계층 분석부(112)에서 생성된 네트워크 계층, 컨트롤 계층 분석부(113)에서 생성된 컨트롤 계층 및 상관관계 계층 분석부에서 생성된 컨트롤 계층을 합하여 화이트리스트를 생성할 수 있다.The white
화이트리스트 피드백부(116)는 화이트리스트 정의부(115)에서 생성된 화이트리스트를 사용자에게 가시화하고, 사용자가 화이트리스트를 수정할 수 있도록 형성된다.The white
또한, 화이트리스트 생성부(110)는 화이트리스트에 복수개의 통신노드들 각각의 보안 정책이 반영되도록 화이트리스트를 생성할 수 있다. 그리고, 상기 보안 정책은 화이트리스트 피드백부(116)를 통하여 사용자가 직접 화이트리스트에 입력할 수도 있다.In addition, the white
감시부(120)는 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신한다. 이 때, 대상 패킷은 이상징후가 존재하는지 여부 판단의 대상이 된는 패킷에 해당한다. 그리고, 감시부(120)는 대상 패킷에 대한 정보를 화이트리스트 생성부(110)에서 생성된 화이트리스트와 비교 분석한다. 또한, 감시부(120)는 대상 패킷에 대한 정보에 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 해당 대상 패킷을 이상징후로 판단한다.The
보다 구체적으로, 감시부(120)는 대상 패킷 수신부(121), 네트워크 계층 감시부(122), 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(124)를 포함하여 구성된다. 그리고, 감시부(120)는 정상 판단부(125)를 더 포함하여 구성될 수 있다. More specifically, the
대상 패킷 수신부(121)는 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신한다. 그리고, 대상 패킷 수신부(121)는 대상 패킷을 어플리케이션 레벨에서 전송된 대상 메시지로 재조립한다. 여기서, 재조립된 대상 메시지를 화이트리스트와 비교 분석하여, 대상 패킷의 이상징후를 판단할 수 있다.The
네트워크 계층 감시부(122)는 화이트리스트의 네트워크 계층과, 대상 메시지를 전송한 통신노드의 전송 IP, 대상 메시지를 수신한 통신노드의 수신 IP 및 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 이상징후를 판단한다. 즉, 네트워크 계층 감시부(122)는 대상 메시지의 전송 IP, 수신 IP 및 사용된 서비스에 대한 정보가 화이트리스트에 포함되어 있지 않은 경우, 해당 대상 메시지와 관련된 대상 패킷을 이상징후로 판단할 수 있다.The network
컨트롤 계층 감시부(123)는 화이트리스트의 컨트롤 계층과, 대상 메시지에서 사용된 명령어, 대상 메시지가 전송하는 데이터 객체들의 특성 및 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 이상징후를 판단한다. 즉, 컨트롤 계층 감시부(123)는 대상 메시지의 명령어, 데이터 객체들의 특성 및 전송시간에 대한 정보가 화이트리스트에 포함되어 있지 않은 경우, 해당 대상 메시지와 관련된 대상 패킷을 이상징후로 판단할 수 있다.The control
상관관계 계층 감시부(124)는 화이트리스트의 상관관계 계층과, 대상 메시지의 상관관계 정보를 비교하여, 이상징후를 판단한다. 즉, 상관관계 계층 감시부(124)는 대상 메시지의 상관관계 정보가 화이트리스트에 포함되어 있지 않은 경우, 해당 대상 메시지와 관련된 대상 패킷을 이상징후로 판단할 수 있다. 이 때, 대상 메시지의 상관관계 정보는 대상 메시지의 순서 정보, 대상 메시지 간의 시간간격 정보 및 대상 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하여 구성될 수 있다.The correlation
네트워크 계층 감시부(122), 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(124)는 순차적으로 동작할 수 있다. 더욱 구체적으로, 네트워크 계층 감시부(122)에서 이상징후가 판단된 경우, 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(123)는 동작하지 않게 형성될 수 있다. 또한, 컨트롤 계층 감시부(123)에서 이상징후가 판단된 경우, 상관관계 계층 감시부(124)는 동작하지 않도록 형성될 수 있다. 이에 따라, 네트워크 감시 장치(100)에 있어서, 불필요한 감시 동작을 줄일 수 있다.The
정상 판단부(125)는 네트워크 계층 감시부(122), 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(124)에서 이상징후가 판단되지 않은 경우, 해당 대상 패킷을 정상 패킷으로 판단한다. 그리고, 정상 판단부(125)는 정상 패킷에 대한 정보를 사용자에게 통보할 수 있도록 형성된다.If the abnormality is not determined by the network
알람 생성부(130)는 감시부(120)에서 판단된 이상징후의 정보를 사용자에게 통보하도록 형성된다. 이러한, 알람 생성부(130)는 화이트리스트를 기반으로 대상 메시지를 조사하여, 외부 침입, 불필요한 서비스 제공, 허용되지 않은 명령어의 사용이나 허용되지 않은 데이터 객체를 이용한 통신노드의 오동작 유발 공격, 메시지 전송시간 연장을 이용한 DoS 공격, 메시지 간의 순서 조작을 이용한 공격 등 발생 가능한 보안위협에 대한 정보를 사용자에게 통보할 수 있다.
The
도 3은 본 발명에 따른 네트워크 감시 장치에 있어서, 화이트리스트의 내용을 설명하기 위한 도면이다. 먼저, 도 3에서 사용된 용어의 정의는 다음과 같다. 3 is a view for explaining the contents of a white list in the network monitoring apparatus according to the present invention. First, the definitions of terms used in FIG. 3 are as follows.
도 3 및 상기의 표 1을 참조하면, 화이트리스트(Whitelist)는 네트워크 계층(Wips, Wservices), 컨트롤 계층(Wopcodes, Wdatalists, Wtimes) 및 상관관계 계층(Wrelations)을 포함하여 구성된다. 그리고, 화이트리스트는 Wips의 집합이다. Wips는 Sips에 포함되는 IP에서 Dips에 포함되는 IP로 Wservices 규칙에 해당하는 통신행위가 허가되었음을 나타낸다. Wservices는 Services에 포함되는 서비스가 Wopcodes에 해당하는 통신행위에 대해 허가되었음을 나타낸다. Wopcodes는 Opcodes에 포함되는 명령어가 Wdatalists에 해당하는 통신행위에 대해 허가되었음을 나타낸다. Wdatalists는 Datalists에 포함되는 데이터 객체의 특성의 리스트가 나타낼 수 있는 데이터 객체의 리스트가 Wtimes에 해당하는 통신행위에 대해 허가되었음을 나타낸다. Wtimes는 Times에 포함하는 시간에 Wrelations에 해당하는 통신행위가 허가되었음을 나타낸다. Wrelations는 Wrelations에 포함되는 상관관계(메시지 순서, 메시지 간의 시간 간격, 메시지 전송에 따른 통신노드의 상태 변화 등)에 해당하는 통신행위가 허가되었음을 나타낸다. 어플리케이션 레벨에서 전송하는 메시지의 특성을 명령어와 전송할 데이터 객체의 리스트로 구성하고 데이터 객체의 특성은 데이터 객체의 타입(프로토콜에서 미리 정의된 타입 또는 사용자 정의 타입), 데이터의 크기(bit 개수), 데이터의 값(binary 값)으로 구분하였다. Relation은 전송된 제어명령의 순서, 제어명령 간의 시간 간격, 제어명령에 따른 통신노드의 상태 변화 외의 다양한 방향으로 확장이 가능하다.
Referring to FIG. 3 and Table 1, the whitelist includes a network layer (Wips, Wservices), a control layer (Wopcodes, Wdatalists, Wtimes) and a correlation layer (Wrelations). The white list is a collection of Wips. Wips is the IP included in the Sips to the IP included in the Sips, indicating that the communication service corresponding to the Wservices rule is permitted. Wservices indicates that the services included in Services are authorized for communication activities corresponding to Wopcodes. Wopcodes indicate that the commands included in the Opcodes are authorized for the communication actions corresponding to the Wdatalists. Wdatalists indicates that the list of data objects that can be represented by the list of characteristics of the data objects included in the datalists is permitted for the communication action corresponding to Wtimes. Wtimes indicates that communication corresponding to Wrelations is allowed at the time included in Times. Wrelations indicate that communication actions corresponding to correlations (message order, time interval between messages, change of communication node's state according to message transmission, etc.) included in Wrelations are allowed. The characteristics of the message sent at the application level consist of a command and a list of data objects to be sent.The characteristics of the data object are the type of data object (predefined type or user-defined type in the protocol), the size of the data (number of bits), and the data. The values are divided into binary values. Relation can be extended in various directions other than the order of transmitted control commands, the time interval between control commands, and the status change of communication nodes according to the control commands.
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 대하여 설명하도록 한다. Hereinafter, a network monitoring method using a white list according to the present invention will be described.
도 4는 본 발명에 따른 네트워크 감시 방법을 설명하기 위한 플로우챠트이다. 4 is a flowchart for explaining a network monitoring method according to the present invention.
도 4를 참조하면, 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법은 먼저, 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집한다(S100).Referring to FIG. 4, the network monitoring method using the white list according to the present invention first collects packets transmitted and received between the plurality of communication nodes during normal operation of the plurality of communication nodes (S100).
그리고, 단계(S100)에서 수집된 패킷들을 분석하여 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성한다(S200). 단계(S200)에서 화이트리스트를 생성하는 구체적인 방법에 대하여는 도 5와 함께 후술하도록 한다. 그리고, 단계(S200)는 생성된 화이트리스트를 사용자에게 가시화하고, 사용자가 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함하여 형성될 수 있다. 또한, 단계(S200)에서 화이트리스트는 복수개의 통신노드들 각각의 보안 정책을 반영하도록 생성될 수 있다.Then, the packets collected in step S100 are analyzed to generate a white list when the plurality of communication nodes operate normally (S200). A detailed method of generating a white list in step S200 will be described later with reference to FIG. 5. In operation S200, the generated white list may be visualized to the user, and the white list feedback step may be formed to allow the user to modify the white list. In operation S200, the white list may be generated to reflect the security policy of each of the plurality of communication nodes.
그리고, 복수개의 통신노드들 간에 송수신되며, 이상징후가 있는지 판단의 대상이 되는 대상 패킷을 수신한다(S300).Then, a plurality of communication nodes are transmitted and received, and receives a target packet, which is a target for determining whether there is an abnormal symptom (S300).
단계(S300)를 통해 수신된 대상 패킷에 관한 정보가 화이트리스트에 정의되지 않은 정보를 포함하고 있는지를 판단한다(S400). 이러한, 단계(S400)는 네트워크 계층 비교 분석 단계, 컨트롤 계층 비교 분석 단계 및 상관관계 계층 비교 분석 단계를 포함하여 이루어질 수 있다. 단계(S400)의 보다 구체적인 내용은 도 6 내지 도 8과 함께 후술하도록 한다.It is determined whether the information about the target packet received through the step S300 includes information not defined in the white list (S400). This, step (S400) may comprise a network layer comparison analysis step, control layer comparison analysis step and correlation layer comparison analysis step. More specific details of the step S400 will be described later with reference to FIGS. 6 to 8.
단계(S400)의 판단 결과, 대상 패킷에 관한 정보가 모두 화이트리스트에 정의되어 있다면, 단계(S300)로 돌아가 계속해서 대상 패킷을 수신한다.If it is determined in step S400 that all the information on the target packet is defined in the white list, the process returns to step S300 to continue receiving the target packet.
반면, 단계(S400)의 판단 결과, 대상 패킷에 관한 정보에 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우 해당 대상 패킷을 이상징후로 판단한다(S500). 그리고, 단계(S500)에서 판단된 이상징후를 사용자에게 통보한다(S600).
On the other hand, if the determination result of step S400 includes information that is not defined in the white list in the information on the target packet, the target packet is determined to be an abnormal symptom (S500). Then, the user is notified of the abnormal symptom determined in step S500 (S600).
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계에 대하여 보다 상세히 설명하도록 한다.Hereinafter, in the network monitoring method using the white list according to the present invention, a step of generating a white list will be described in detail.
도 5는 본 발명에 따른 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계를 설명하기 위한 플로우챠트이다.
5 is a flowchart for explaining a step of generating a white list in the network monitoring method according to the present invention.
도 5를 참조하면, 본 발명에 따른 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계는 먼저, 수집된 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립한다(S210). 이 때의 메시지를 분석하여 화이트리스트가 생성될 수 있다.Referring to FIG. 5, in the network monitoring method according to the present invention, the step of generating a whitelist first reassembles a message transmitted at an application level using collected packets (S210). The white list may be generated by analyzing the message at this time.
그리고, 메시지를 전송한 통신노드의 전송 IP, 메시지를 수신한 통신노드의 수신 IP 및 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 화이트리스트의 네트워크 계층을 생성한다(S211).In operation S211, at least one of a transmission IP of the communication node that has transmitted the message, a reception IP of the communication node which has received the message, and a service used to transmit the message is analyzed to generate a white layer network layer.
그리고, 메시지에서 사용된 명령어, 메시지가 전송하는 데이터 객체들의 특성 및 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 화이트리스트의 컨트롤 계층을 생성한다(S212).The control layer of the white list is generated by analyzing at least one of a command used in the message, characteristics of data objects transmitted by the message, and a transmission time required for transmitting the message (S212).
그리고, 메시지의 상관관계 정보를 분석하여, 화이트리스트의 상관관계 계층을 생성한다(S213). 이 때, 메시지의 상관관계 정보는 메시지의 순서 정보, 메시지 간의 시간간격 정보 및 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하여 구성될 수 있다.
The correlation information of the message is analyzed to generate a correlation list of the white list (S213). In this case, the correlation information of the message may include at least one of order information of the message, time interval information between the messages, and state change information of a communication node receiving the transmission of the message.
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계에 대하여 보다 상세히 설명하도록 한다.Hereinafter, in the network monitoring method using the white list according to the present invention, a step of comparing and analyzing the network layer will be described in more detail.
도 6은 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
6 is a flowchart for explaining a step of comparing and analyzing network layers in the network monitoring method according to the present invention.
본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계는 먼저, 대상 메시지에 있어서, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 수신 IP를 분석한다(S410).In the network monitoring method using the white list according to the present invention, the step of comparing and analyzing the network layer, in the target message, first analyzes the transmission IP of the communication node that has transmitted the target message and the receiving IP receiving the target message. (S410).
그리고, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 수신 IP가 화이트리스트의 네트워크 계층에 포함된 정보인지를 판단한다(S411).In operation S411, it is determined whether the transmission IP of the communication node which has transmitted the target message and the reception IP which has received the target message are included in the network layer of the white list.
단계(S411)의 판단 결과, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 수신 IP가 화이트리스트의 네트워크 계층에 포함된 정보인 경우, 대상 메시지를 전송하기 위해 사용된 서비스를 분석한다(S412).As a result of the determination in step S411, when the transmission IP of the communication node that has sent the target message and the receiving IP which has received the target message are information included in the network layer of the whitelist, the service used to transmit the target message is analyzed. (S412).
그리고, 대상 메시지를 전송하기 위해 사용된 서비스가 화이트리스트의 네트워크 계층에 포함된 정보인지를 판단한다(S413).In operation S413, it is determined whether the service used to transmit the target message is information included in the network layer of the white list.
단계(S413)의 판단 결과, 대상 메시지를 전송하기 위해 사용된 서비스가 화이트리스트의 네트워크 계층에 포함된 정보인 경우, 분석 완료된 대상 메시지에 대한 정보를 컨트롤 계층 감시부로 전송한다(S416).As a result of the determination in step S413, when the service used to transmit the target message is information included in the network layer of the white list, information about the analyzed target message is transmitted to the control layer monitoring unit (S416).
단계(S411) 및 단계(S413)의 판단 결과, 대상 메시지를 전송한 통신노드의 전송 IP, 대상 메시지를 수신한 통신노드의 수신 IP 및 대상 메시지를 전송하기 위해 사용된 서비스의 정보가 화이트리스트의 네트워크 계층에 포함되지 않은 경우, 해당 정보를 이상징후로 판단한다(S414). 그리고, 이상징후로 판단된 정보를 사용자에게 통보한다(S415). 단계(S414) 및 단계(S415)를 통해 이상징후로 판단되고 통보된 정보도 필요에 따라 컨트롤 계층 감시부로 전송될 수 있다(S416).
As a result of the determination of steps S411 and S413, the transmission IP of the communication node that has sent the target message, the reception IP of the communication node that has received the target message, and the information of the service used to transmit the target message are included in the whitelist. If it is not included in the network layer, the information is determined to be an abnormal symptom (S414). Then, the user is informed of the information determined as an abnormal symptom (S415). Information determined and notified of abnormal symptoms through steps S414 and S415 may also be transmitted to the control layer monitoring unit as necessary (S416).
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계에 대하여 보다 상세히 설명하도록 한다.Hereinafter, in the network monitoring method using the white list according to the present invention, a step of comparing and analyzing the control layer will be described in more detail.
도 7은 본 발명에 따른 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
7 is a flowchart illustrating a step of comparing and analyzing a control layer in the network monitoring method according to the present invention.
본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계는 먼저, 네트워크 계층 감시부로부터 분석이 완료된 정보를 수신한다(S420).In the network monitoring method using the white list according to the present invention, in the comparative analysis of the control layer, first, the analyzed information is received from the network layer monitoring unit (S420).
단계(S420)에서 수신된 정보의 대상 메시지에서 사용된 명령어를 분석한다(S421).The command used in the target message of the information received in step S420 is analyzed (S421).
그리고, 대상 메시지에서 사용된 명령어가 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S422).In operation S422, it is determined whether the command used in the target message is information included in the control layer of the white list.
단계(S422)의 판단 결과, 대상 메시지에서 사용된 명령어가 화이트리스트의 네트워크 계층에 포함된 정보인 경우, 대상 메시지가 전송하는 데이터 객체들의 특성을 분석한다(S423).As a result of the determination in step S422, when the command used in the target message is information included in the network layer of the white list, the characteristics of the data objects transmitted by the target message are analyzed (S423).
그리고, 대상 메시지가 전송하는 데이터 객체들의 특성이 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S424).In operation S424, it is determined whether the characteristics of the data objects transmitted by the target message are information included in the control layer of the white list.
단계(S424)의 판단 결과, 대상 메시지가 전송하는 데이터 객체들의 특성이 화이트리스트의 컨트롤 계층에 포함된 정보인 경우, 대상 메시지 전송에 소요된 전송시간을 분석한다(S425).As a result of the determination in step S424, when the characteristics of the data objects transmitted by the target message are information included in the control layer of the white list, the transmission time required for transmitting the target message is analyzed (S425).
그리고, 대상 메시지 전송에 소요된 전송시간이 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S426).Then, it is determined whether the transmission time required for transmitting the target message is information included in the control layer of the white list (S426).
단계(S426)의 판단 결과, 대상 메시지 전송에 소요된 전송시간이 화이트리스트의 컨트롤 계층에 포함된 정보인 경우, 분석 완료된 대상 메시지에 대한 정보를 상관관계 계층 감시부로 전송한다(S429).As a result of the determination in step S426, when the transmission time required for the transmission of the target message is information included in the control layer of the white list, information about the analyzed target message is transmitted to the correlation layer monitoring unit (S429).
단계(S422), 단계(S424) 및 단계(S426)의 판단 결과, 메시지에서 사용된 명령어, 메시지가 전송하는 데이터 객체들의 특성 및 메시지 전송에 소요된 전송시간의 정보가 화이트리스트의 컨트롤 계층에 포함되지 않은 경우, 해당 정보를 이상징후로 판단한다(S427). 그리고, 이상징후로 판단된 정보를 사용자에게 통보한다(S428). 단계(S422), 단계(S424) 및 단계(S426)를 통해 이상징후로 판단되고 통보된 정보도 필요에 따라 상관관계 계층 감시부로 전송될 수 있다(S429).
As a result of the determination of steps S422, S424, and S426, the control layer of the whitelist includes information on the command used in the message, the characteristics of the data objects transmitted by the message, and the transmission time required for the message transmission. If not, the information is determined to be an abnormal symptom (S427). Then, the user is notified of the information determined as an abnormal symptom (S428). Information determined and notified of abnormal symptoms through steps S422, S424, and S426 may also be transmitted to the correlation layer monitor as necessary (S429).
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석하는 단계에 대하여 보다 상세히 설명하도록 한다.Hereinafter, in the network monitoring method using the white list according to the present invention, the step of comparing and analyzing the correlation layer will be described in more detail.
도 8은 본 발명에 따른 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
8 is a flowchart illustrating a step of comparing and analyzing correlation layers in the network monitoring method according to the present invention.
본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석 하는 단계는 먼저, 컨트롤 계층 감시부로부터 분석이 완료된 정보를 수신한다(S430).In the network monitoring method using the white list according to the present invention, in the comparing and analyzing the correlation layer, first, the analysis information is received from the control layer monitoring unit (S430).
단계(S42)에서 수신된 정보의 대상 메시지에 의한 상관관계 정보를 분석한다(S431).Correlation information by the target message of the information received in step S42 is analyzed (S431).
그리고, 대상 메시지의 상관관계 정보가 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S432). 이 때, 대상 메시지의 상관관계 정보는 대상 메시지의 순서 정보, 대상 메시지 간의 시간간격 정보 및 대상 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.In operation S432, it is determined whether the correlation information of the target message is included in the control layer of the white list. In this case, the correlation information of the target message may include at least one of order information of the target message, time interval information between the target messages, and state change information of a communication node receiving the transmission of the target message.
단계(S432)의 판단 결과, 대상 메시지의 상관관계 정보가 화이트리스트의 컨트롤 계층에 포함된 경우, 네트워크 계층 감시 단계 및 컨트롤 계층 감시 단계에서 이상징후로 판단되지 않은 대상 메시지에 관한 대상 패킷에 대하여 정상 행위로 판단한다(S433).As a result of the determination in step S432, when the correlation information of the target message is included in the control layer of the white list, it is normal to the target packet regarding the target message not determined as an abnormal symptom in the network layer monitoring step and the control layer monitoring step. Judging by the action (S433).
단계(S423)의 판단 결과, 대상 메시지의 상관관계 정보가 화이트리스트의 컨트롤 계층에 포함되지 않은 경우, 해당 정보를 이상징후로 판단한다(S434). 그리고, 이상징후로 판단된 정보를 사용자에게 통보한다(S435).
As a result of the determination in step S423, when the correlation information of the target message is not included in the control layer of the white list, the information is determined as an abnormal symptom (S434). Then, the user is informed of the information determined as an abnormal symptom (S435).
도 6에 따른 네트워크 계층 비교 분석 단계, 도 7에 따른 컨트롤 계층 비교 분석 단계 및 도 8에 따른 상관관계 계층 비교 분석 단계는 순차적으로 진행될 수 있다. 즉, 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크 계층 비교 분석 단계에서 이상징후가 판단된 경우, 컨트롤 계층 비교 분석 단계 및 상관관계 계층 비교 분석 단계는 진행되지 않게 형성될 수 있다. 그리고, 컨트롤 계층 비교 분석 단계에서 이상징후가 판단된 경우, 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성될 수 있다.
The network layer comparison analysis according to FIG. 6, the control layer comparison analysis according to FIG. 7, and the correlation layer comparison analysis according to FIG. 8 may be sequentially performed. That is, in the network monitoring method according to the present invention, when abnormal symptoms are determined in the network layer comparison analysis step, the control layer comparison analysis step and the correlation layer comparison analysis step may not be performed. If the abnormal symptom is determined in the control layer comparison analysis step, the correlation layer comparison analysis step may not be performed.
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름에 대하여 보다 상세히 설명하도록 한다.Hereinafter, in the network monitoring method using the white list according to the present invention, the overall flow of monitoring the abnormal symptoms on the network will be described in more detail.
도 9는 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름을 설명하기 위한 플로우챠트이다.
9 is a flowchart for explaining the overall flow of monitoring for abnormal symptoms on the network in the network monitoring method according to the present invention.
도 9를 참조하면, 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름은 먼저, 대상 메시지의 재조립이 성공하였는지를 판단한다(S10). 단계(S10)의 판단 결과, 대상 메시지의 재조립에 실패하였다면, 어플리케이션 레벨 DoS 공격이 있거나 또는 대상 메시지 전송 통신노드의 성능이 저하된 것으로 판단될 수 있다.Referring to FIG. 9, in the network monitoring method using a white list according to the present invention, the overall flow of monitoring an abnormal symptom on a network is first determined whether reassembly of a target message succeeds (S10). As a result of the determination in step S10, if reassembly of the target message fails, it may be determined that there is an application level DoS attack or that the performance of the target message transmission communication node is degraded.
그리고, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 통신노드의 수신 IP 사이에 통신이 허용되는지를 화이트리스트에 기반하여 판단한다(S11). 단계(S11)의 판단 결과, 전송 IP 및 수신 IP 사이에 통신이 허용되지 않은 경우, 외부에서의 침입, 외부로의 정보 유출, 외부 C&C 서버의 접속 시도 또는 사용 권한 위배의 사용이 있는 것으로 판단될 수 있다.Then, it is determined based on the white list whether communication is allowed between the transmission IP of the communication node which has transmitted the target message and the reception IP of the communication node which has received the target message (S11). As a result of the determination in step S11, if communication is not permitted between the transmission IP and the reception IP, it may be determined that there is an intrusion from the outside, information leakage to the outside, an attempt to connect to an external C & C server, or a violation of the use authority. Can be.
그리고, 대상 메시지를 전송하기 위해 사용된 서비스가 허가된 서비스인지를 화이트리스트에 기반하여 판단한다(S12). 단계(S12)의 판단 결과, 서비스가 허가되지 않은 서비스인 경우, 불필요한 서비스가 제공되었거나, 사용 권한 위배의 사용이 있는 것으로 판단될 수 있다.Then, it is determined based on the white list whether the service used to transmit the target message is an authorized service (S12). As a result of the determination in step S12, when the service is an unauthorized service, unnecessary service may be provided, or it may be determined that there is a use violation of the use right.
그리고, 대상 메시지에서 사용된 명령어가 허가된 명령어인지를 화이트리스트에 기반하여 판단한다(S13). 단계(S13)의 판단 결과, 명령어가 허가되지 않은 명령어인 경우, 사용 권한 위배의 사용이 있거나, 악성 코드가 전파 되고 있는 것으로 판단될 수 있다.Then, it is determined based on the white list whether the command used in the target message is a permitted command (S13). As a result of the determination in step S13, when the command is an unauthorized command, it may be determined that there is a violation of the use authority or that malicious code is being propagated.
그리고, 대상 메시지가 전송하는 데이터 객체들의 특성이 허가된 데이터 객체 특성인지를 화이트리스트에 기반하여 판단한다(S14). 단계(S14)의 판단 결과, 데이터 객체 특성이 허가되지 않은 특성을 갖는 경우, 버퍼 오버플로우 공격(데이터 크기가 틀린 경우), 사용자의 실수, 시스템 자체 오류, 악성코드의 전파(데이터 타입, 크기가 틀린 경우) 또는 데이터 임계치를 넘는 오작동이 유발(데이터 값이 틀린 경우)된 것으로 판단될 수 있다.In operation S14, it is determined whether the characteristics of the data objects transmitted by the target message are permitted data object characteristics. As a result of the determination in step S14, when the data object characteristic has an unauthorized characteristic, a buffer overflow attack (when the data size is wrong), a user mistake, a system error itself, and a propagation of malware (data type, size are It may be determined that a false value or a malfunction exceeding a data threshold is caused (when a data value is wrong).
그리고, 대상 메시지의 전송에 소요된 전송시간이 적합한지를 화이트리스트에 기반하여 판단한다(S15). 단계(S15)의 판단 결과, 전송시간이 적합하지 않다면, 어플리케이션 레벨 DoS 공격 또는 대상 메시지가 전송되는 통신노드의 성능이 저하된 것으로 판단될 수 있다.Then, it is determined based on the white list whether the transmission time required for the transmission of the target message is appropriate (S15). As a result of the determination in step S15, if the transmission time is not appropriate, it may be determined that the performance of the application node DoS attack or the communication node to which the target message is transmitted.
그리고, 대상 메시지의 상관관계 정보가 지켜졌는지를 화이트리스트에 기반하여 판단한다(S16). 단계(S16)의 판단 결과, 상관관계 정보가 지켜지지 않았다면, 내부자에 의한 공격, 시스템 오작동 유발의 공격 또는 시스템 취약점의 공격이 발생된 것으로 판단될 수 있다.Then, it is determined based on the white list whether the correlation information of the target message has been kept (S16). As a result of the determination in step S16, if the correlation information is not kept, it may be determined that an attack by an insider, an attack of causing a system malfunction, or an attack of a system vulnerability occurs.
단계(S10) 내지 단계(S16)의 판단 결과, 화이트리스트에 포함되지 않은 정보가 대상 메시지에 관한 정보에서 발견된 경우, 해당 정보를 이상징후로 판단하고(S17), 이상징후를 사용자에게 통보한다(S18).
As a result of the determination in steps S10 to S16, when information not included in the whitelist is found in the information on the target message, the information is determined as an abnormal symptom (S17), and the user is notified of the abnormal symptom. (S18).
한편, 상술한 화이트리스트를 이용한 네트워크 감시 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 판독 가능한 기록 매체에 기록될 수 있다. 이 때, 컴퓨터로 판독 가능한 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 한편, 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.On the other hand, the network monitoring method using the white list described above is implemented in the form of program instructions that can be executed by various computer means can be recorded in a computer-readable recording medium. In this case, the computer-readable recording medium may include program instructions, data files, data structures, etc. alone or in combination. On the other hand, the program instructions recorded on the recording medium may be those specially designed and configured for the present invention or may be available to those skilled in the art of computer software.
컴퓨터로 판독 가능한 기록매체에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM, DVD와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 한편, 이러한 기록매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다.
Computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. The recording medium may be a transmission medium such as an optical or metal wire, a waveguide, or the like including a carrier wave for transmitting a signal specifying a program command, a data structure, or the like.
이상에서와 같이 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the apparatus and method for monitoring a network using a white list according to the present invention are not limited to the configuration and method of the embodiments described as described above, but the embodiments may be modified in various ways. All or some of the embodiments may be optionally combined.
100; 네트워크 감시 장치
110; 화이트리스트 생성부
111; 패킷 수집부
112; 네트워크 계층 분석부
113; 컨트롤 계층 분석부
114; 상관관계 계층 분석부
115; 화이트리스트 정의부
116; 화이트리스트 피드백부
120; 감시부
121; 대상 패킷 수신부
122; 네트워크 계층 감시부
123; 컨트롤 계층 감시부
124; 상관관계 계층 감시부
125; 정상 판단부
130; 알람 생성부100; Network monitoring device
110; White List Generator
111; Packet collector
112; Network layer analyzer
113; Control layer analyzer
114; Correlation Hierarchy Analysis Unit
115; White List Justice
116; White List Feedback Section
120; The monitoring section
121; Target packet receiver
122; Network layer monitor
123; Control layer monitor
124; Correlation Layer Monitor
125; Normal judgment
130; Alarm generator
Claims (22)
상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하며, 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 감시부; 및
상기 감시부에서 판단된 상기 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함하되,
상기 화이트리스트 생성부는,
메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 네트워크 계층 분석부;
상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 컨트롤 계층 분석부;
상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 상관관계 계층 분석부; 및
상기 네트워크 계층 분석부, 상기 컨트롤 계층 분석부 및 상기 상관관계 계층 분석부에서 분석된 상기 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성하는 화이트리스트 정의부를 포함하는 것을 특징으로 하는 네트워크 감시 장치.In a normal operation of a plurality of communication nodes, a white list generating unit for collecting the packets transmitted and received between the plurality of communication nodes, and analyzing the packets to generate a white list;
Receiving a target packet transmitted and received between the plurality of communication nodes, comparing and analyzing the information on the target packet with the whitelist, and the information on the target packet includes information not defined in the whitelist A monitoring unit determining the target packet as an abnormal symptom; And
An alarm generating unit for notifying the user of the information on the abnormal symptoms determined by the monitoring unit,
The white list generation unit,
A network layer analyzer configured to analyze at least one of a transmission IP of a communication node transmitting a message, a reception IP of the communication node receiving the message, and a service used to transmit the message, thereby generating a network layer of the white list ;
A control layer analyzer configured to generate at least one control layer of the white list by analyzing at least one of a command used in the message, characteristics of data objects transmitted by the message, and a transmission time required for transmitting the message;
A correlation layer analyzer configured to analyze correlation information of the message and generate a correlation layer of the white list; And
And a white list definition unit configured to generate the white list based on the information on the message analyzed by the network layer analyzer, the control layer analyzer, and the correlation layer analyzer.
상기 메시지는,
수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지이며,
상기 화이트리스트 생성부는,
상기 메시지를 재조립하는 패킷 수집부를 더 포함하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 장치.The method according to claim 1,
The message comprises:
A message transmitted at the application level using the collected packets,
The white list generation unit,
And a packet collecting unit for reassembling the message, and analyzing the message to generate the white list.
상기 메시지의 상기 상관관계 정보는,
상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하는 것을 특징으로 하는 네트워크 감시 장치.The method according to claim 1,
The correlation information of the message is,
And at least one of order information of the message, time interval information between the messages, and state change information of a communication node receiving the transmission of the message.
상기 감시부는 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하는 대상 패킷 수신부를 더 포함하고,
상기 대상 메시지를 상기 화이트리스트와 비교 분석하여, 상기 대상 패킷의 상기 이상징후를 판단하는 것을 특징으로 하는 네트워크 감시 장치.The method according to claim 2,
The monitoring unit further includes a target packet receiver configured to receive the target packet transmitted and received between the plurality of communication nodes, and reassemble the target packet into a target message transmitted at the application level.
And comparing and analyzing the target message with the white list to determine the abnormal symptom of the target packet.
상기 감시부는,
상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 네트워크 계층 감시부;
상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 컨트롤 계층 감시부; 및
상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교하여, 상기 이상징후를 판단하는 상관관계 계층 감시부를 포함하는 것을 특징으로 하는 네트워크 감시 장치.The method according to claim 5,
Wherein,
Comparing the network layer of the whitelist with at least one of a transport IP of a communication node that has transmitted the destination message, a reception IP of a communication node that has received the destination message, and a service used to transmit the destination message, A network layer monitoring unit determining the abnormal symptom;
The abnormal symptom is determined by comparing the control layer of the white list with at least one of a command used in the target message, characteristics of data objects transmitted by the target message, and a transmission time required for transmission of the target message. A control layer monitor; And
And a correlation layer monitor configured to compare the correlation layer of the white list and the correlation information of the target message to determine the abnormal symptom.
상기 감시부에서,
상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 순차적으로 동작하는 것을 특징으로 하는 네트워크 감시 장치.The method of claim 6,
In the monitoring unit,
And the network layer monitor, the control layer monitor, and the correlation layer monitor operate sequentially.
상기 감시부는,
상기 네트워크 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 동작하지 않게 형성되며, 상기 컨트롤 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 감시부는 동작하지 않도록 형성되는 것을 특징으로 하는 네트워크 감시 장치.The method of claim 7,
Wherein,
When the abnormality is determined by the network layer monitoring unit, the control layer monitoring unit and the correlation layer monitoring unit are inoperative, and when the abnormality is determined by the control layer monitoring unit, the correlation layer Network monitoring apparatus, characterized in that the monitoring unit is formed so as not to operate.
상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 정상 판단부를 더 포함하는 것을 특징으로 하는 네트워크 감시 장치.The method of claim 7,
The network monitoring apparatus further comprises a normal determination unit for determining the target packet as a normal packet when the abnormality is not determined by the network layer monitoring unit, the control layer monitoring unit, and the correlation layer monitoring unit. .
상기 화이트 리스트 생성부는,
상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백부를 더 포함하는 것을 특징으로 하는 네트워크 감시 장치.The method according to claim 1,
The white list generation unit,
And a white list feedback unit configured to visualize the white list to the user and allow the user to modify the white list.
상기 화이트리스트는 생성부는,
상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 장치.The method according to claim 1,
The white list generation unit,
And generating the white list to reflect the security policy of each of the plurality of communication nodes in the white list.
상기 패킷들을 분석하여 상기 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성하는 단계;
상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하는 단계;
상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하는 단계;
상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 단계; 및
상기 이상징후를 사용자에게 통보하는 단계를 포함하되,
상기 화이트리스트를 생성하는 단계는,
메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 단계;
상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 단계; 및
상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.In a normal operation of a plurality of communication nodes, collecting packets transmitted and received between the plurality of communication nodes;
Analyzing the packets to generate a white list when the plurality of communication nodes operate normally;
Receiving a target packet transmitted and received between the plurality of communication nodes;
Comparing and analyzing the information on the target packet with the white list;
If the information on the target packet includes information not defined in the whitelist, determining the target packet as an abnormal symptom; And
Notifying the user of the abnormal symptom,
Generating the white list,
Analyzing at least one of a transmission IP of a communication node transmitting a message, a reception IP of the communication node receiving the message, and a service used to transmit the message, to generate the whitelist network layer;
Generating a control layer of the whitelist by analyzing at least one of a command used in the message, characteristics of data objects transmitted by the message, and a transmission time required for transmitting the message; And
And analyzing the correlation information of the message to generate a correlation layer of the white list.
상기 메시지는,
수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지이며,
상기 화이트리스트를 생성하는 단계는,
상기 메시지를 재조립하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법. The method of claim 12,
The message comprises:
A message transmitted at the application level using the collected packets,
Generating the white list,
Reassembling the message and analyzing the message to generate the whitelist.
상기 상관관계 정보는,
상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하는 것을 특징으로 하는 네트워크 감시 방법.The method of claim 12,
The correlation information is
And at least one of sequence information of the message, time interval information between the messages, and state change information of a communication node receiving the transmission of the message.
상기 대상 패킷을 수신하는 단계는,
상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하며,
상기 비교 분석하는 단계는,
상기 대상 메시지를 상기 화이트리스트와 비교 분석하는 것을 특징으로 하는 네트워크 감시 방법.The method according to claim 13,
Receiving the target packet,
Receiving the target packet transmitted and received between the plurality of communication nodes, reassembling the target packet into a target message transmitted at the application level,
The comparative analysis step,
And comparing and analyzing the target message with the white list.
상기 비교 분석하는 단계는,
상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교 분석하는, 네트워크 계층 비교 분석 단계;
상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교 분석하는, 컨트롤 계층 비교 분석 단계; 및
상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교 분석하는, 상관관계 계층 비교 분석 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.18. The method of claim 16,
The comparative analysis step,
Comparing and analyzing at least one of the network layer of the whitelist, a transmission IP of a communication node that has transmitted the target message, a reception IP of a communication node which has received the target message, and a service used to transmit the target message. A network layer comparison analysis step;
A control layer comparison analysis for comparing and analyzing at least one of the control layer of the whitelist, a command used in the target message, characteristics of data objects transmitted by the target message, and a transmission time required for transmission of the target message; step; And
And comparing and analyzing the correlation layer of the whitelist and correlation information of the target message.
상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 순차적으로 진행되는 것을 특징으로 하는 네트워크 감시 방법.18. The method of claim 17,
And the network layer comparison analysis step, the control layer comparison analysis step, and the correlation layer comparison analysis step are performed sequentially.
상기 네트워크 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 진행되지 않게 형성되며, 상기 컨트롤 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성되는 것을 특징으로 하는 네트워크 감시 방법.19. The method of claim 18,
When the abnormal symptoms are determined in the network layer comparison analysis step, the control layer comparison analysis step and the correlation layer comparison analysis step are not performed, and when the abnormal symptoms are determined in the control layer comparison analysis step. And the correlation layer comparison and analyzing step is formed so as not to proceed.
상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 감시 방법.19. The method of claim 18,
And determining the target packet as a normal packet when the abnormal symptom is not determined in the network layer comparison analysis step, the control layer comparison analysis step and the correlation layer comparison analysis step. Surveillance Method.
상기 화이트리스트를 생성하는 단계는,
상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.The method of claim 12,
Generating the white list,
And a white list feedback step of visualizing the white list to the user and allowing the user to modify the white list.
상기 화이트리스트를 생성하는 단계는,
상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법.The method of claim 12,
Generating the white list,
And generating the white list to reflect the security policy of each of the plurality of communication nodes in the white list.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110098829A KR101360591B1 (en) | 2011-09-29 | 2011-09-29 | Apparatus and method for monitoring network using whitelist |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110098829A KR101360591B1 (en) | 2011-09-29 | 2011-09-29 | Apparatus and method for monitoring network using whitelist |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130034773A KR20130034773A (en) | 2013-04-08 |
| KR101360591B1 true KR101360591B1 (en) | 2014-02-11 |
Family
ID=48436780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110098829A KR101360591B1 (en) | 2011-09-29 | 2011-09-29 | Apparatus and method for monitoring network using whitelist |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101360591B1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170079858A (en) | 2015-12-31 | 2017-07-10 | 다운정보통신(주) | Method and Apparatus for Control Signals Verifying Integrity Using Control Signals Analysis in Automatic Control System |
| KR20200098838A (en) | 2019-02-13 | 2020-08-21 | 다운정보통신(주) | Control system anomaly detection system and its method by analyzing the device control signal packet and its status |
| KR20210067900A (en) | 2019-11-29 | 2021-06-08 | (주) 앤앤에스피 | A Security Monitoring System using Packet Flow for automation control system |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102044181B1 (en) * | 2013-09-02 | 2019-11-13 | 한국전력공사 | Apparatus and method for creating whitelist with network traffic |
| KR101455167B1 (en) | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | Network switch based on whitelist |
| KR101538709B1 (en) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
| KR101585876B1 (en) * | 2015-06-08 | 2016-01-15 | 동국대학교 산학협력단 | Distributed network protocol based data receiving device and intrusion detection method thereof |
| CN109074453B (en) | 2016-04-26 | 2021-10-26 | 三菱电机株式会社 | Intrusion detection device, intrusion detection method, and computer-readable storage medium |
| US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
| USD870749S1 (en) | 2018-01-04 | 2019-12-24 | Samsung Electronics Co., Ltd. | Display screen or portion thereof with transitional graphical user interface |
| KR102484940B1 (en) * | 2022-03-24 | 2023-01-06 | 온시큐리티 주식회사 | Method and apparatus for detecting anomalies in industrial control system using packet order information |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060064450A (en) * | 2004-12-08 | 2006-06-13 | 한국전자통신연구원 | Arp poisoning detection apparatus and method |
| KR20060099050A (en) * | 2005-03-10 | 2006-09-19 | 한국전자통신연구원 | Apparatus and method of adaptive prevention on attack |
| KR20110037645A (en) * | 2009-10-07 | 2011-04-13 | 한국전자통신연구원 | Apparatus and method for protecting ddos |
-
2011
- 2011-09-29 KR KR1020110098829A patent/KR101360591B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060064450A (en) * | 2004-12-08 | 2006-06-13 | 한국전자통신연구원 | Arp poisoning detection apparatus and method |
| KR20060099050A (en) * | 2005-03-10 | 2006-09-19 | 한국전자통신연구원 | Apparatus and method of adaptive prevention on attack |
| KR20110037645A (en) * | 2009-10-07 | 2011-04-13 | 한국전자통신연구원 | Apparatus and method for protecting ddos |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170079858A (en) | 2015-12-31 | 2017-07-10 | 다운정보통신(주) | Method and Apparatus for Control Signals Verifying Integrity Using Control Signals Analysis in Automatic Control System |
| KR20200098838A (en) | 2019-02-13 | 2020-08-21 | 다운정보통신(주) | Control system anomaly detection system and its method by analyzing the device control signal packet and its status |
| KR20210067900A (en) | 2019-11-29 | 2021-06-08 | (주) 앤앤에스피 | A Security Monitoring System using Packet Flow for automation control system |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130034773A (en) | 2013-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101360591B1 (en) | Apparatus and method for monitoring network using whitelist | |
| US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
| AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| US10187422B2 (en) | Mitigation of computer network attacks | |
| Han et al. | A comprehensive survey of security threats and their mitigation techniques for next‐generation SDN controllers | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN108183921B (en) | System and method for information security threat interruption via border gateway | |
| CN113364799B (en) | Method and system for processing network threat behaviors | |
| Krishnan et al. | An adaptive distributed intrusion detection system for cloud computing framework | |
| Patel et al. | Taxonomy and proposed architecture of intrusion detection and prevention systems for cloud computing | |
| US11652824B2 (en) | Trustworthiness evaluation of network devices | |
| Kumar et al. | Securing iot-based cyber-physical human systems against collaborative attacks | |
| KR101768079B1 (en) | System and method for improvement invasion detection | |
| KR20170091989A (en) | System and method for managing and evaluating security in industry control network | |
| Ujcich et al. | Causal Analysis for {Software-Defined} Networking Attacks | |
| KR101202212B1 (en) | Anti-intrusion method and system for a communication network | |
| KR101767591B1 (en) | System and method for improvement invasion detection | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| JP2010250607A (en) | System, method and program for analysis of unauthorized access | |
| Hessam et al. | A new approach for detecting violation of data plane integrity in Software Defined Networks | |
| KR100656340B1 (en) | Apparatus for analyzing the information of abnormal traffic and Method thereof | |
| US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| Ohri et al. | Software-Defined Networking Security Challenges and Solutions: A Comprehensive Survey | |
| Mallikarjunan et al. | BAIT: behaviour aided intruder testimony technique for attacker intention prediction in business data handling | |
| Makori | Machine learning based ddos attack detection for software-defined networks: Yazılım tanımlı ağlar için makine öğrenme esaslı ddos attack algılama |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E90F | Notification of reason for final refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170201 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180202 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20200121 Year of fee payment: 7 |